Spisu treści:
- Co to jest APT?
- Czym różnią się APT?
- Niektóre przykłady APT
- Gdzie APT?
- Zagrożenia bezpieczeństwa w XXI wieku
Atak na sieć komputerową nie jest już nagłówkiem wiadomości, ale istnieje inny rodzaj ataku, który przenosi obawy związane z cyberbezpieczeństwem na wyższy poziom. Ataki te nazywane są zaawansowanymi trwałymi zagrożeniami (APT). Dowiedz się, czym różnią się od codziennych zagrożeń i dlaczego są w stanie wyrządzić tyle szkód w naszym przeglądzie niektórych głośnych spraw, które miały miejsce w ciągu ostatnich kilku lat. (W tle zapoznaj się z 5 najbardziej przerażającymi zagrożeniami technicznymi).
Co to jest APT?
Termin zaawansowane trwałe zagrożenie (APT) może odnosić się do atakującego posiadającego znaczne środki, organizację i motywację do przeprowadzenia trwałego cyberataku na cel.
Nie jest zaskoczeniem, że APT jest zaawansowany, wytrwały i groźny. Jest zaawansowany, ponieważ wykorzystuje metody ukrywania się i wiele metod ataku w celu naruszenia celu, często o wysokiej wartości zasobów korporacyjnych lub rządowych. Ten rodzaj ataku jest również trudny do wykrycia, usunięcia i przypisania do konkretnego napastnika. Co gorsza, po naruszeniu celu często tworzone są backdoory, aby zapewnić atakującemu stały dostęp do zaatakowanego systemu.
APT są uważane za trwałe w tym sensie, że atakujący może spędzić miesiące na gromadzeniu danych wywiadowczych na temat celu i wykorzystywać je do przeprowadzania wielu ataków w dłuższym okresie czasu. Jest to groźne, ponieważ sprawcy często poszukują bardzo poufnych informacji, takich jak układ elektrowni jądrowych lub kodeksy, aby włamać się do amerykańskich kontrahentów obronnych.
Atak APT ma zasadniczo trzy podstawowe cele:
- Kradzież poufnych informacji z celu
- Nadzór celu
- Sabotaż celu
Sprawcy APT często korzystają z zaufanych połączeń w celu uzyskania dostępu do sieci i systemów. Połączenia te można znaleźć na przykład poprzez sympatycznego pracownika lub nieświadomego pracownika, który padnie ofiarą ataku typu phishing włócznią.
Czym różnią się APT?
APT różnią się od innych cyberataków pod wieloma względami. Po pierwsze, APT często używają niestandardowych narzędzi i technik włamań - takich jak exploity podatności, wirusy, robaki i rootkity - zaprojektowane specjalnie w celu penetracji organizacji docelowej. Ponadto APT często przeprowadzają wiele ataków jednocześnie, aby naruszyć swoje cele i zapewnić ciągły dostęp do systemów docelowych, czasami w tym wabik, aby nakłonić cel do myślenia, że atak został skutecznie odparty.
Po drugie, ataki APT występują przez długi czas, podczas którego atakujący poruszają się powoli i cicho, aby uniknąć wykrycia. W przeciwieństwie do szybkiej taktyki wielu ataków przeprowadzanych przez typowych cyberprzestępców, celem APT jest pozostanie niezauważonym poprzez poruszanie się „powoli i powoli” z ciągłym monitorowaniem i interakcją, dopóki atakujący nie osiągną wyznaczonych celów.
Po trzecie, APT są zaprojektowane tak, aby spełniały wymogi szpiegostwa i / lub sabotażu, zwykle z udziałem tajnych podmiotów państwowych. Celem APT jest zbieranie wywiadu wojskowego, politycznego lub gospodarczego, poufne dane lub zagrożenie tajemnicą handlową, zakłócenie operacji, a nawet zniszczenie sprzętu.
Po czwarte, APT są ukierunkowane na ograniczony zakres bardzo cennych celów. Ataki APT zostały przeprowadzone przeciwko agencjom rządowym i obiektom, wykonawcom obronnym oraz producentom produktów zaawansowanych technologicznie. Organizacje i firmy, które utrzymują i obsługują infrastrukturę krajową, są również prawdopodobnie celem.
Niektóre przykłady APT
Operacja Aurora była jedną z pierwszych szeroko nagłośnionych APT; seria ataków na amerykańskie firmy była wyrafinowana, ukierunkowana, ukradkowa i zaprojektowana do manipulowania celami.Ataki przeprowadzone w połowie 2009 r. Wykorzystały lukę w przeglądarce Internet Explorer, umożliwiając atakującym uzyskanie dostępu do systemów komputerowych i pobranie złośliwego oprogramowania do tych systemów. Systemy komputerowe zostały podłączone do zdalnego serwera, a własność intelektualna została skradziona firmom, w tym Google, Northrop Grumman i Dow Chemical. (Przeczytaj o innych szkodliwych atakach w złośliwym oprogramowaniu: robakach, trojanach i botach, o rany!)
Stuxnet był pierwszym APT, który wykorzystał cyberatak do zakłócenia fizycznej infrastruktury. Uważany za opracowany przez Stany Zjednoczone i Izrael robak Stuxnet atakował systemy kontroli przemysłowej irańskiej elektrowni jądrowej.
Chociaż wydaje się, że Stuxnet został opracowany do atakowania irańskich obiektów jądrowych, rozprzestrzenił się znacznie poza zamierzony cel i może być również wykorzystywany przeciwko obiektom przemysłowym w krajach zachodnich, w tym w Stanach Zjednoczonych.
Jednym z najbardziej znanych przykładów APT było naruszenie RSA, firmy zajmującej się bezpieczeństwem komputerów i sieci. W marcu 2011 r. RSA wylało wyciek, gdy został penetrowany atakiem typu phishing spear-phishing, który zaatakował jednego z jego pracowników i spowodował ogromny atak cyberataków.
W liście otwartym do RSA przesłanym przez klientów na stronie internetowej firmy w marcu 2011 r. Prezes wykonawczy Art Coviello powiedział, że wyrafinowany atak APT wyodrębnił cenne informacje związane z jego dwuskładnikowym produktem uwierzytelniającym SecurID używanym przez pracowników zdalnych w celu bezpiecznego dostępu do sieci firmy .
„Chociaż w tej chwili jesteśmy przekonani, że wyodrębnione informacje nie umożliwiają udanego bezpośredniego ataku na żadnego z naszych klientów RSA SecurID, informacje te mogą potencjalnie zostać wykorzystane do zmniejszenia skuteczności obecnej implementacji uwierzytelniania dwuskładnikowego w ramach szerszej atak ”- powiedział Coviello.
Okazało się jednak, że Coviello się mylił, ponieważ wielu klientów tokenów RSA SecurID, w tym amerykański gigant obronny Lockheed Martin, zgłosiło ataki wynikające z naruszenia RSA. W celu ograniczenia szkód RSA zgodziło się wymienić tokeny dla swoich kluczowych klientów.
Gdzie APT?
Jedno jest pewne: APT będą kontynuowane. Tak długo, jak istnieją informacje wrażliwe do kradzieży, grupy zorganizowane będą za nimi podążać. I dopóki istnieją narody, będzie szpiegostwo i sabotaż - fizyczny lub cyber.
Jest już kontynuacja robaka Stuxnet, nazwanego Duqu, który został odkryty jesienią 2011 roku. Podobnie jak agent śpiący, Duqu szybko wtopił się w kluczowe systemy przemysłowe i gromadzi informacje wywiadowcze i spędza czas. Zapewniamy, że studiuje dokumenty projektowe, aby znaleźć słabe punkty dla przyszłych ataków.
Zagrożenia bezpieczeństwa w XXI wieku
Z pewnością Stuxnet, Duqu i ich spadkobiercy będą coraz częściej nękać rządy, operatorów infrastruktury krytycznej i specjalistów ds. Bezpieczeństwa informacji. Nadszedł czas, aby potraktować te zagrożenia tak poważnie, jak drobne problemy związane z bezpieczeństwem informacji w codziennym życiu w XXI wieku.